WinFuture-Forum.de: Administratorkonto wird immer wieder gesperrt - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Windows Server
  • 2 Seiten +
  • 1
  • 2

Administratorkonto wird immer wieder gesperrt Admin gesperrt


#1 Mitglied ist offline   Starfight 

  • Gruppe: Mitglieder
  • Beiträge: 19
  • Beigetreten: 14. August 17
  • Reputation: 0

geschrieben 15. September 2018 - 14:15

Ich gehe immer wieder per RemoteDesktop auf den Server in unserer Firma um diverse Aufgaben zu erledigen. Dabei kommt es immer wieder mal vor, das ich das Fenster eine weile offen habe, aber nichts mache, weil z.B. ein Virenscan läuft.
Klicke ich dann wieder auf das Fenster, erhalte ich folgende Fehlermeldung:

"Als Sicherheitsmaßnahme wurde das Benutzerkonto gesperrt, da zu viele Anmeldeversuche oder Kennwortänderungsversuche unternommen wurden......"

Ich gehe dann in aller Regel mit einem zweiten Admin Account rein, entsperre das Konto wieder und gut.
Aber es würde mich natürlich schon Interessieren, wieso hier das Konto gesperrt wird.
Eine Suche mit McAfee nach dem Conficker Virus waren erfolglos. Der kann es also nicht sein.

Ich habe natürlich in Verdacht, das ich irgendwann mal eine Anwendung oder ähnliches eingerichtet habe, die für irgendeine Aktion (Backup ?) Zugangsdaten benötigte. Da ich zwischenzeitlich mein Passwort geändert habe, könnte das natürlich das Problem sein. Nur, wie finde ich raus, was genau das sein könnte ?

Wenn ich DCDIAG ausführe, erhalte ich auch mehrere Meldungen:

Fehler. Ereignis-ID: 0x00003006 (12294)
Erstellungszeitpunkt: 09/15/2018 12:00:41
Ereigniszeichenfolge:
Das Konto von Administrator in der SAM-Datenbank konnte aufgrund eines Ressourcenfehlers, z. B. ein
Schreibfehler auf der Festplatte, nicht gesperrt werden. Der Fehlercode ist in den Fehlerdaten zu finden.
Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses
Konto zurück.

Oftmals im Abstand von 3 bis 6 Minuten.
Auch im Ereignisprotokoll finde ich keine Hinweise darauf, wer hier den eine Anmeldung versucht hat.

Jemand eine Idee, wo man noch suchen könnte ?
0

Anzeige



#2 Mitglied ist offline   DON666 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.650
  • Beigetreten: 30. Oktober 03
  • Reputation: 231

geschrieben 15. September 2018 - 15:13

Du könntest dir noch die Aufgabenplanung vornehmen, eventuell ist dort eine entsprechende Aktion eingetragen.
Motörhead
Queens Of The Stone Age
Fu Manchu
Napalm Death
Grim Tales...
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
0

#3 Mitglied ist offline   Stef4n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 43
  • Beigetreten: 20. August 18
  • Reputation: 2

geschrieben 15. September 2018 - 18:39

Die Meldung mit den Fehlversuchen wird sicherlich nur eine Standard Meldung sein. Kann es sein dass der server mit einer Gruppenrichtlinie versehen ist die das lokale Administrator Konto sperrt? Das würde erklären dass die Sperre immer wieder gesetzt wird.
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.314
  • Beigetreten: 20. Juli 07
  • Reputation: 958

geschrieben 15. September 2018 - 19:23

Unwahrscheinlich, da Benutzerkonten übers AD und nicht per GPO verwaltet werden.

Für die Zukunft: dokumentieren. Ich weiß auch nicht aus dem Kopf, welcher Systemdienst in welchem Benutzerkontext läuft; fest steht aber, wenn ich von denen die Zugangsdaten änder, dann fliegt mir das Konto um die Ohren.


IIRC protokolliert Logon Audit mit, wer von wo versucht hat, sich anzumelden, mit Status SUCCESS bzw FAILURE. Das muß man aber erst per GPO aktivieren.

Eventuell wichtig: wenn das ein Produktivsystem ist und gewerblich verwendet wird, dann müssen die Mitarbeiter das erfahren, wenn sowas aktiviert wird, weil diese Informationen Rückschlüsse über Arbeitszeiten zulassen kann ("Hansi Kraus hat sich am PC MÜLLER am 23.09.2018 um 08:30 angemeldet mit Status SUCCESS" => hey, und was hat er die halbe Stunde vorher gemacht?!" ==> Datenschutz).
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#5 Mitglied ist offline   Starfight 

  • Gruppe: Mitglieder
  • Beiträge: 19
  • Beigetreten: 14. August 17
  • Reputation: 0

geschrieben 16. September 2018 - 11:45

@Don666 Das mit der Aufgabenplanung war eine gute Idee. Ich habe mir den Verlauf einiger Aufgaben angesehen, die werden alle normal gestartet und auch beendet.Windows selbst legt aber ja auch noch zig Aufgaben an. Bei jeder steht entweder, das der Vorgang erfolgreich beendet wurde, aktuell noch läuft oder nie gestartet wurde.
Sieht für mich also alles OK aus.

@Staf4a Schwer zu sagen, da ich an den Gruppenrichtlinien nichts ändern kann, lässt der Server nicht zu.
Und bei der Masse an Richtlinien wohl auch kaum so ohne weiteres zu finden.
Aber das Konto wird ja auch nicht immer gesperrt, nur immer wieder mal. Ich sehe auch immer wieder im Erignisslog die ID
12294 "Das Konto von Administrator in der SAM-Datenbank konnte aufgrund eines Ressourcenfehlers, z. B. ein Schreibfehler auf der Festplatte, nicht gesperrt werden. Der Fehlercode ist in den Fehlerdaten zu finden. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück."
was aber wohl auch nicht zur Sperre des Kontos führt.

@RalpfS Ja, Dokumentieren hätte sicher geholfen und ich muß zugeben, das ich beim Einrichten nicht mit solchen Problemen gerechnet hätte. Aber nun ist es leider zu spät.
IIRC ?? Was ist das ? Habe ich noch nicht von gehört.


So, gerade wieder mal das Konto gesperrt worden, während ich hier mit euch schreibe, war ich per Remote auf dem Server, ich schreib hier etwas, aktiviere wieder das Remote Desktop Fenster und peng, Konto gesperrt.
Ich habe mich dann sofort mit einem zweiten Account angemeldet und das Ereignisslogbuch geprüft. Außer 4 Einträgen bezüglich der SAM Datenbank unmittelbar vor der Kontosperre ist da nichts zu finden.
Aber die Meldung kommt sonst ja auch zig mal, ohne dass das Konto gesperrt wird.


PS: Gerade mal im Ereignislog nachgesehen.
Heute 12:20 Uhr meine ich, das letzte mal in das RemoteDektopFenster geklickt zu haben, bin mir aber nicht 100% sicher.
12:21 war das Konto dann gesperrt, da bin ich mir sicher.
ABER, im Ereignislog finde ich einen Eintrag:
12:07:08 Ein Benutzerkonto wurde gesperrt
Mein Benutzername wird angegeben und der "Aufrufcomputername MSTSC"
Meine Vermutung ist, dass das Konto tatsächlich um diese Zeit gesperrt wurde.
Da ich aber Remote am arbeiten war, konnte ich weiter machen, da ich ja angemeldet war und keine Abmeldung erfolgte.
Gegen 12:20 hat dann vermutlich irgendein Timeout (Bildschirmsperre, RemoteDektop) gegriffen und als ich wieder auf das RemoteDesktopFenster geklickt habe, wollte das System mich wieder anmelden, was dann natürlich nicht ging.

Stellt sich die Frage, MSTSC ist welche Arbeitsstation ? Wir haben keine, die si heißt, das ist sicher. Ist dass das Kürzel für den Server selbst ?

Unmittelbar davor gibt es auch ein Ereignis "Fehler beim Anmelden eines Kontos"
Fehlerursache: Unbekannter Bnutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:0xC0000064
KontoName ist zwar nicht meiner, aber ADMIN

Dazu tauchen auch immer wieder Meldungen auf "Es wurde versucht, die Anmeldeinformationen für ein Konto zu überprüfen"
Mal mit meinem Kontonamen, mal mit Administrator, mal mit Admin, aber auch mit Namen, die definitiv kein Benutzerkonto bei uns sind.
Hier vermute ich Hackversuche. Aber dürften die soweit führen, dass das Admin Konto gesperrt wird ?

Dieser Beitrag wurde von Starfight bearbeitet: 16. September 2018 - 12:44

0

#6 Mitglied ist offline   NCC-1701 B 

  • Gruppe: aktive Mitglieder
  • Beiträge: 420
  • Beigetreten: 30. Juli 15
  • Reputation: 39

geschrieben 19. September 2018 - 09:11

Im DC Log schauen von wo die anmelde versuche gekommen sind ich wette du hast irgend ein Dienst laufen bei dem das falsche Passwort drin steht.

Mir ist es schon passiert das sich ein Admin sperrt gerade wenn mein sich bei den geplanten Tasks vertippt.
Eingefügtes Bild
0

#7 Mitglied ist offline   Starfight 

  • Gruppe: Mitglieder
  • Beiträge: 19
  • Beigetreten: 14. August 17
  • Reputation: 0

geschrieben 19. September 2018 - 10:10

Beitrag anzeigenZitat (NCC-1701 B: 19. September 2018 - 09:11)

Im DC Log schauen von wo die anmelde versuche gekommen sind

Verzeih meine dümmliche Frage, aber wo finde ich das ? Bin noch nicht so fit darin, wo ich welche Logs finden kann.

Zitat

ich wette du hast irgend ein Dienst laufen bei dem das falsche Passwort drin steht.

Jain sag ich mal. Das würde ich annehmen, wenn MEIN Konto bei den Anmeldeversuchen auftauchen würde. Aber es tauchen ja eher "administrator" in allen möglichen Sprachvariationen auf und Usernamen, die es hier gar nicht gibt.
Also der Hackerangriff kommt definitiv, leider ohne Hinweis, von wo. Keine IP, nichts.

Das immer wieder mein Admin Konto gesperrt wird, ja, hätte ich auch an irgendeinen Dienst geglaubt, aber dann müßte sich ja irgendeine Regelmäßigkeit erkennen lassen. Ich kann mich aber oftmals Tagelang Remote aufschalten und alles läuft prima und an anderen Tagen sperrt er mir das Konto mehrmals am Tag.

Aber logisch, wenn der DC mein Konto sperrt, sollte er auch irgendwo mitteilen, warum. :D
0

#8 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 182
  • Beigetreten: 16. November 05
  • Reputation: 1

geschrieben 19. September 2018 - 12:43

kann es etwa sein, dass dein server von extern via rdp (3389) oder gar netbios (139, 445) erreichbar ist?
auf den ports is derart viel rauschen unterwegs, dass ich mir vorstellen kann, dass der account so eingestellt ist, dass er nach xx anmelde-fehlversuchen gesperrt wird - das kann mal kuerzer, mal laenger dauern.

wo man das unter server 2012 genau aendert, weiß ich gerade nicht - aber vllt. hilft dir folgendes weiter: https://www.isunshar...to-make-it.html
0

#9 Mitglied ist offline   Starfight 

  • Gruppe: Mitglieder
  • Beiträge: 19
  • Beigetreten: 14. August 17
  • Reputation: 0

geschrieben 19. September 2018 - 13:48

Hmmm, der Artikel beschreibt, das ein Account NICHT nach mehreren Fehlgeschlagenen Anmeldeversuchen gesperrt wird.
Aber das ist bei mir ja eher der Fall und soweit ja auch erst mal gut so.

Ja, der Server ist definitiv via RemoteDektop erreichbar. Port 139 und 445 sollten aber nicht auf dem Server verweisen, eher 443. 445 sollte eine Umleitung zu einem anderen Gerät haben, was aber im Router erledigt wird.
Was mich ja aktuell nur stört, WO sehe ich die fehlgeschlagenen Loginversuche. Ich sehe die aktuell nur auf "administrator","admin","SYSADMIN" und diverse Namen, die definitiv aus einer Passwort Datei stammen können.
Aber keiner davon ist mein Loginname.
Was mich halt stört, das ich nicht feststellen kann, woher diese ganzen Fehlversuche stammen. Es ist weder ein Computername angegeben, noch eine IP Adresse. Der Hackangriff hat vorgestern Mittag erst mal aufgehört.

Was mich auch stört, es heißt doch eigentlich, das Administratorkonten nicht gesperrt werden sollen. Macht ja auch Sinn, wenn der Admin nicht mehr an das System kommt, wäre ja übel. Aber das betrifft doch hoffentlich nicht nur das Konto mit dem Namen Administrator, was ja Gott sei Dank von Haus aus deaktiviert ist und wohl auch bleiben sollte.
0

#10 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 182
  • Beigetreten: 16. November 05
  • Reputation: 1

geschrieben 20. September 2018 - 13:07

es waere prinzipiell ratsam rdp nur via vpn erreichbar zu machen bzw. zumindest den standardport auf einen anderen umzulegen - dann entgehst du immerhin mal den ganzen scan/brutforce-versuchen der botnets.

zum thema protokollierung solltest du hier fuendig werden: https://www.solvps.c...windows-server/
0

#11 Mitglied ist offline   DON666 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.650
  • Beigetreten: 30. Oktober 03
  • Reputation: 231

geschrieben 20. September 2018 - 14:06

Beitrag anzeigenZitat (Starfight: 16. September 2018 - 11:45)

[...]
Stellt sich die Frage, MSTSC ist welche Arbeitsstation ? Wir haben keine, die si heißt, das ist sicher. Ist dass das Kürzel für den Server selbst ?
[...]


MSTSC steht für "Microsoft Terminal Services Client", die mstsc.exe ist das Programm, das du auf deinem PC startest, um die RDP-Verbindung herzustellen. Das kannst du nämlich auch "zu Fuß" über

Ausführen -> mstsc /admin /v:servername

tun.

In dem Kontext bedeutet das halt nur, dass der gesperrte Benutzer nicht lokal, sondern über Remote Desktop verbunden war.

Dieser Beitrag wurde von DON666 bearbeitet: 20. September 2018 - 14:18

Motörhead
Queens Of The Stone Age
Fu Manchu
Napalm Death
Grim Tales...
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
0

#12 Mitglied ist offline   Starfight 

  • Gruppe: Mitglieder
  • Beiträge: 19
  • Beigetreten: 14. August 17
  • Reputation: 0

geschrieben 20. September 2018 - 14:55

Danke für den Link CaNNoN. Zumindest weiß ich jetzt schon mal, das sich niemand per RDP eingeloggt hat, der das auch nicht darf.
Als ich mich gerade per RDP anmelden wollte, um deinen Tip zu testen, war das Konto schon wieder gesperrt. Und ich finde in den Events keinen Hinweis darauf, das mein Konto gesperrt wurde.

LOL, gerade wie von Dir vorgeschlagen den RDP Port 3389 im Router auf einen anderen Port gelegt. Logisch, Verbindung ist dann zusammen gebrochen. Ich mich dann also mit dem neuen Port per RDP anmelden wollen, ist mein Konto schon wieder gesperrt.
So langsam glaube ich, der Server hat etwas gegen mich persönlich. :D
0

#13 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 182
  • Beigetreten: 16. November 05
  • Reputation: 1

geschrieben 21. September 2018 - 01:08

also wenn es nicht am rdp bruteforce lag, dann koenntest dir noch die netbios protokollierung reinpfeifen, siehe: http://tritoneco.com...tlogon-logging/

vllt. faellt da noch etwas auf :)

ansonsten muss es eigentlich fast ein lokaler windows service mit falschen anmeldedaten sein.

/edit: sehe gerade, dass 443 auch offen ist - laeuft bei dir im netzwerk (das problem muss ja nicht zwangslaeufig am DC seinen ursprung haben) ein OWA (bzw. generell exchange?) oder irgendwelche anderen seiten, deren anmeldung mittels AD-konten erfolgt? falls ja, waeren die exchange- und/oder iis-logs auch noch einen blick wert.

Dieser Beitrag wurde von CaNNoN bearbeitet: 21. September 2018 - 01:17

0

#14 Mitglied ist offline   Starfight 

  • Gruppe: Mitglieder
  • Beiträge: 19
  • Beigetreten: 14. August 17
  • Reputation: 0

geschrieben 21. September 2018 - 09:26

Hallo CaNNoN
Das scheint der ultimative Tipp gewesen zu sein. Das Logging war schon aktiviert, somit also auch die bösen Login Versuche im Log enthalten und ja, wenn ich das richtig deute, steht auch der Rechner, über den das gelaufen sein soll, im Klartext drin.
Da ich mir zu 100% sicher bin, das der Nutzer keine solchen Loginversuche unternehmen würde, muß ich dann jetzt wohl nach einem Virus / Trojaner suchen.

Port 443 ist nur für den Zugriff auf die Benutzeroberfläche von NAS Geräten bzw. dem Remote Webaccess auf dem Server offen, aber auch auf andere Ports umgeleitet. OWA oder Exchange nutzen wir nicht.
Ich schau jetzt erst mal, was es mit dem Hackangriff auf sich hat, eventuell erledigt sich die Kontosperrung von meinem Konto dann gleich mit.

Dank euch allen erst mal für eure Hilfe.
0

#15 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 182
  • Beigetreten: 16. November 05
  • Reputation: 1

geschrieben 21. September 2018 - 11:50

sehr schoen! halt uns auf dem laufenden, was dabei herauskam :D
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0